医疗保健领域人工智能抄写员的 HIPAA 合规风险：数字医疗领导者需要了解什么

人工智能抄写员正迅速成为现代医疗保健的数字化助手。它们有望减少临床医生的职业倦怠，简化文档记录，改善患者体验。但是，随着医疗服务提供商和数字医疗公司竞相实施人工智能抄写员解决方案，一个主要问题不断浮出水面：

HIPAA 风险在很大程度上取决于人工智能解决方案的培训、部署、集成和管理方式。如果贵公司正在探索或已经在使用人工智能抄写解决方案，请将本博客作为您的路线图，对风险进行压力测试。

什么是人工智能抄写员？

人工智能抄写员使用机器学习模型聆听（或处理）患者与医生的会面录音，并生成结构化的临床笔记。这些工具的市场定位是无缝集成到电子健康记录（EHR）中，减少人工制表的需要，让医生在就诊时更专注于病人。

在幕后，人工智能抄写员通过多种方式实时处理大量受保护健康信息 (PHI)（如音频、转录、结构化 EHR 数据等）。因此，人工智能抄写员将受到 HIPAA 的监管。

人工智能抄写员生命周期中的 HIPAA 陷阱

以下是我们在为数字医疗客户、医疗系统和人工智能供应商提供咨询服务时遇到的最常见的 HIPAA 陷阱。

1.未经适当授权对人工智能进行 PHI 培训

许多人工智能抄写员都经过 "微调 "或使用真实世界的数据（包括以前的会诊或临床医生编辑的笔记）进行再训练。这些数据通常包含 PHI。根据 HIPAA 规定，将 PHI 用于承保实体医疗服务提供商的治疗、付款或医疗服务运营之外的目的通常需要患者授权。因此，像模型培训或产品改进这样的用例需要有充分的理由证明该活动符合承保实体医疗服务提供者的医疗服务业务--否则将需要患者授权。

风险：如果人工智能供应商在未经患者授权的情况下或代表客户在可辩解的治疗、支付或医疗业务基础上对客户数据进行模型训练，则需要将这种使用评估为潜在的 HIPAA 违规行为。还要考虑部署该技术可能需要的任何其他同意，例如根据州记录法记录患者或医疗服务提供者的同意。

2.不适当的业务合作协议（BAA）

代表承保实体或其他业务关联方访问、存储或以其他方式处理 PHI 的人工智能抄写员供应商几乎总是 HIPAA 下的业务关联方。然而，我们看到的供应商合同要么 (a) 缺乏合规的 BAA，要么 (b) 包含过于宽泛的免责声明，基本上免除了供应商的责任，要么 (c) 未定义允许的使用和披露，或包含 HIPAA 不允许的使用和披露（例如，允许供应商在未获得适当授权或符合 HIPAA 例外情况的情况下在 PHI 上训练 AI 模型）。

提示：仔细审查每一份 AI 供应商协议。确保 BAA 或基础服务合同明确定义：正在访问、存储或以其他方式处理的数据，数据的使用方式，包括哪些数据可用于培训，以及数据是否去标识化或在服务交付后保留。

3.缺乏安全保障 

人工智能抄写员平台是攻击者的高价值目标。这些平台可能会采集实时音频、存储临床笔记草稿或通过 API 集成到电子病历中。

HIPAA要求：受保实体和业务关联方必须实施 "合理且适当 "的技术、管理和物理保障措施来保护 PHI。受 HIPAA 监管的实体还必须更新其风险分析，将使用人工智能抄写员包括在内。

4.模型幻觉和误导输出

人工智能抄写员，尤其是建立在生成模型基础上的抄写员，会产生 "幻觉 "或编造临床信息。更严重的是，如果出现转录错误或病人不匹配，它们可能会将信息错误地归属于错误的病人。这不仅仅是一个工作流程问题。如果将 PHI 插入错误的病历或披露给错误的个人，则可能违反 HIPAA 和州数据泄露法（如果因错误输入而影响未来护理，甚至可能对患者造成损害）。

风险管理：对所有人工智能记录实施环内人工审核。确保医疗服务提供者接受培训，以便在将笔记输入患者记录之前确认其准确性。

5.去识别谬误

一些供应商声称他们的人工智能解决方案 "符合 HIPAA 标准"，因为数据已经去标识化。但是，供应商往往没有严格遵守 HIPAA（45 C.F.R. § 164.514）规定的两种允许的去标识化方法中的任何一种：专家判定法或安全港法。如果数据未按照上述方法之一完全去标识化，则不属于 HIPAA 下的去标识化数据。

合规性检查：如果供应商声称其系统不在 HIPAA 的管辖范围内，因为只使用了去标识化数据，则应询问：所使用的去标识化方法、重新标识化风险分析的证据以及所使用的去标识化专家的证书（如适用）。此外，请注意，如果供应商获得 PHI 来进行去标识化，则必须与医疗服务提供者和供应商就去标识化签署 BAA。 

医疗系统和数字医疗公司下一步的实用措施

对于正在评估或已经实施人工智能抄写员的公司来说，以下是在不扼杀创新的前提下降低风险的小贴士：

1. 彻底审查供应商
2. 将管理纳入电子病历工作流程
3. 限制未经授权的二次使用/培训
4. 更新风险分析
5. 培训服务提供者

底线

人工智能抄写员正在改变临床文档。然而，在实现高度自动化的同时，也要承担巨大的责任，尤其是在 HIPAA 下。供应商、数字医疗公司和医疗系统不仅要把人工智能抄写软件当作软件，还要把它当作嵌入患者护理的数据管家。通过建立强有力的合同保障措施，将 PHI 的使用限制在 HIPAA 允许的范围内，并持续评估下游风险，数字医疗领导者可以拥抱创新，而不会招致不必要的风险。

欲了解有关人工智能、远程医疗、远程保健、数字医疗和其他医疗创新的更多信息，包括团队、出版物和代表经验，请联系任何作者或福来公司网络安全和数据隐私部或医疗保健业务部的任何合伙人或高级顾问。